Authentification MFA manquante pour un compte privilégié

Cet IoE ne peut pas fonctionner sans une licence Microsoft Entra ID P1 ou P2 en raison de restrictions de disponibilité des données imposées par Microsoft. Par conséquent, il ne retournera aucun résultat sur les tenants Entra ID Free.

L'authentification multifacteur (MFA), anciennement appelée authentification à deux facteurs (2FA), protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes privilégiés. Lorsqu'un attaquant obtient le mot de passe d'un utilisateur privilégié par une méthode quelconque, l'authentification MFA bloque l'authentification en demandant un facteur supplémentaire tel qu'un code valide temporairement provenant d'une application mobile, un jeton physique, une caractéristique biométrique, etc.

Cet indicateur d'exposition signale les comptes qui ne disposent pas de méthode MFA enregistrée et vous informe si vous forcez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité. Cependant, cet indicateur d'exposition n'indique pas si Microsoft Entra ID force ou non l'authentification MFA, car les stratégies d'accès conditionnel peuvent exiger l’authentification MFA en fonction de critères dynamiques.

Vous pouvez également utiliser les fonctions « Activité des méthodes d'authentification » et « Rapports MFA » dans Entra ID.

Voir aussi l'IOE connexe, « Authentification MFA manquante pour un compte non privilégié », pour les comptes non privilégiés.

Les utilisateurs désactivés sont ignorés car ils ne peuvent pas être exploités immédiatement par les attaquants, mais aussi en raison d'une limitation de l'API Microsoft Graph qui signale un statut MFA incorrect pour les utilisateurs désactivés.

Tous les utilisateurs avec privilèges signalés doivent enregistrer des méthodes MFA et l'authentification MFA doit leur être appliquée afin de renforcer leur protection contre les attaques de mot de passe, comme le recommande les « Bonnes pratiques pour les rôles Microsoft Entra » : « 3. Activez l'authentification multifacteur pour tous vos comptes d'administrateurs. D'après nos études, votre compte a 99,9 % de risques en moins d'être compromis si vous utilisez l'authentification multifacteur (MFA). »

Pour Microsoft Entra ID, Microsoft offre un modèle de stratégie d'accès conditionnel appelé Require MFA for administrators. La stratégie demande aux utilisateurs d'enregistrer une méthode d'authentification MFA la première fois qu'ils s'authentifient après l'application forcée de l'authentification MFA. Nous vous recommandons de suivre les instructions de la section « Planifier un déploiement d’accès conditionnel » dans la documentation Microsoft. En particulier, si vous utilisez des solutions d'identité hybrides telles que Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez exclure leur compte de service de la stratégie, car il ne respecte pas la stratégie d'accès conditionnel. Utilisez l'action « Exclure les utilisateurs » et excluez directement le ou les comptes de service, ou cochez l'option « Rôles d'annuaire » et sélectionnez le rôle « Comptes de synchronisation d'annuaires ».

Notez que vous devez prévoir un ou deux comptes privilégiés d'accès d'urgence, utilisant des méthodes MFA différentes de celles des comptes d'administration standard, comme le recommande la documentation Microsoft dans « Gérer des comptes d’accès d’urgence dans Microsoft Entra ID ».

Vous trouverez davantage d'informations sur l'authentification multifacteur de Microsoft Entra dans cette section de la documentation Microsoft Entra sur l'authentification (consultez également les pages connexes).

Nom: Authentification MFA manquante pour un compte privilégié

Nom de code: MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

Sévérité: High

Type: Microsoft Entra ID Indicator of Exposure